Megosztás a következőn keresztül:


A Defender identitásészlelési kizárásainak konfigurálása a Microsoft Defender XDR-ben

Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Defender identitásészlelési kizárásait a Microsoft Defender XDR-ben.

A Microsoft Defender for Identity lehetővé teszi bizonyos IP-címek, számítógépek, tartományok vagy felhasználók kizárását számos észlelésből.

A DNS-felderítési riasztást például aktiválhatja egy biztonsági szkenner, amely a DNS-t használja vizsgálati mechanizmusként. A kizárások létrehozásával a Defender for Identity figyelmen kívül hagyhatja az ilyen képolvasókat, és csökkentheti a hamis pozitív értékeket.

Feljegyzés

Azt javasoljuk, hogy a kizárások helyett hangoljon egy riasztást . A riasztás-finomhangolási szabályok részletesebb feltételeket teszik lehetővé, mint a kizárások, és lehetővé teszik a hangolt riasztások áttekintését.

Feljegyzés

A leggyakrabban megnyitott DNS-riasztásokon keresztüli gyanús kommunikációval rendelkező tartományok közül azokat a tartományokat figyeltük meg, amelyeket az ügyfelek leginkább kizártak a riasztásból. Ezek a tartományok alapértelmezés szerint fel vannak véve a kizárási listára, de egyszerűen eltávolíthatja őket.

Észlelési kizárások hozzáadása

  1. A Microsoft Defender XDR-ben lépjen a Gépház, majd az Identitások elemre.

    Go to Settings, then Identities.

  2. Ezután a bal oldali menüben megjelenik a Kizárt entitások elem.

    Excluded entities.

    Ezután két módszerrel állíthatja be a kizárásokat: a kizárásokat az észlelési szabály és a globális kizárt entitások alapján.

Kizárások észlelési szabály alapján

  1. A bal oldali menüben válassza a Kizárások észlelési szabály alapján lehetőséget. Megjelenik az észlelési szabályok listája.

    Exclusions by detection rule.

  2. Minden konfigurálni kívánt észlelés esetében hajtsa végre a következő lépéseket:

    1. Válassza ki a szabályt. Az észlelések kereséséhez használja a keresősávot. A kijelölést követően megnyílik egy ablaktábla az észlelési szabály részleteivel.

      Detection rule details.

    2. Kizárás hozzáadásához válassza a Kizárt entitások gombot, majd válassza ki a kizárás típusát. Minden szabályhoz különböző kizárt entitások érhetők el. Ezek közé tartoznak a felhasználók, az eszközök, a tartományok és az IP-címek. Ebben a példában az eszközök kizárása és az IP-címek kizárása lehetőségek közül választhat.

      Exclude devices or IP addresses.

    3. A kizárási típus kiválasztása után hozzáadhatja a kizárást. A megnyíló panelen kattintson a gombra a + kizárás hozzáadásához.

      Add an exclusion.

    4. Ezután adja hozzá a kizárni kívánt entitást. Válassza a + Hozzáadás lehetőséget az entitás listához való hozzáadásához.

      Add an entity to be excluded.

    5. Ezután válassza az IP-címek kizárása (ebben a példában) lehetőséget a kizárás befejezéséhez.

      Exclude IP addresses.

    6. A kizárások hozzáadása után exportálhatja a listát, vagy eltávolíthatja a kizárásokat a Kizárt entitások gombra való visszatéréssel. Ebben a példában visszatértünk az eszközök kizárásához. A lista exportálásához válassza a lefelé mutató nyílgombot.

      Return to Exclude devices.

    7. Kizárás törléséhez válassza ki a kizárást, és válassza a kuka ikont.

      Delete an exclusion.

Globális kizárt entitások

Mostantól globális kizárt entitások kizárásait is konfigurálhatja. A globális kizárások lehetővé teszik bizonyos entitások (IP-címek, alhálózatok, eszközök vagy tartományok) definiálását, amelyek kizárhatók a Defender for Identity összes észlelése során. Így például, ha kizár egy eszközt, az csak azokra az észlelésekre vonatkozik, amelyek az észlelés részeként eszközazonosítással rendelkeznek.

  1. A bal oldali menüben válassza a Globális kizárt entitások lehetőséget. Látni fogja az entitások kizárható kategóriáit.

    Global excluded entities.

  2. Válasszon egy kizárási típust. Ebben a példában a Tartományok kizárása lehetőséget választottuk.

    Exclude domains.

  3. Ekkor megnyílik egy panel, ahol hozzáadhat egy kizárandó tartományt. Adja hozzá a kizárni kívánt tartományt.

    Add a domain to be excluded.

  4. A tartomány hozzá lesz adva a listához. Válassza a Tartomány kizárása lehetőséget a kizárás befejezéséhez.

    Select exclude domains.

  5. Ezután megjelenik a tartomány az összes észlelési szabályból kizárandó entitások listájában. A lista exportálásához vagy az entitások eltávolításához jelölje ki őket, és válassza az Eltávolítás gombot.

    List of global excluded entries.

Következő lépések